De AVG in relatie met IAM

Karin van der Meer is information security analyst bij IonIT

Hoe verhoudt de AVG/ GDPR zich tot Identity & Access Management (IAM)? En wat kan IAM doen om AVG compliance te worden? Een vraag die ik vaak te horen krijg. Tijd dus om jullie daar wat meer over te vertellen.

In mijn vorige blogs en whitepapers schreef ik een introductie hierop, de algemene feiten en verplichtingen van de Algemene Verordening Gegevensbescherming, de AVG, of op zijn Engels de GDPR en de vijftien belangrijkste stappen op weg naar de AVG. Die behandel ik dus niet meer in dit verhaal, maar beide zijn zeker wel van belang!

Laat ik eerst heel kort en heel simpel iets zeggen over IAM. IAM is onderdeel van de security van een bedrijf. Door het identiteiten- en toegangsbeheer in te regelen wordt bedrijfsdata weer een stuk veiliger gemaakt. Een IAM oplossing kan gezien worden als spin in het web het zet de identiteiten door in de gehele organisatie naar diverse applicaties. Gaat een gebruiker weg, verandert hij van functie dan worden zijn toegangsrechten direct aangepast. Een goed ingerichte IAM oplossing zorgt ervoor dat de juiste mensen de juiste toegang tot de juiste informatie hebben op het juiste moment.

Aangezien de AVG gaat over persoonsinformatie en de veiligheid hiervan, is een link met IAM snel gelegd. Alleen de AVG rept hier met geen woord over. Hoe dat kan? Dat komt omdat de AVG er in eerste instantie op gericht is om te zorgen dat bedrijven gaan nadenken over het gebruik van persoonsgegevens. Nadenken over het doel, de processen en de beveiliging. Er wordt niet in hapklare brokken aangegeven hoe die beveiliging dan gedaan kan worden. Dat kan namelijk ook bij elk bedrijf verschillend zijn en ook ik kan u daar geen kant en klaar antwoord voor geven. Wel kan ik zeggen dat een goed ingerichte IAM oplossing kan bijdragen aan het compliant worden. Hoe? Ik heb een paar onderdelen op een rijtje gezet.

Toegangsbeheer tot persoonlijke data

Oke, dat u persoonlijke data verwerkt is duidelijk. De AVG meld dat de verwerkingsverantwoordelijke, in dit geval het bedrijf waar u voor werkt dus, verantwoordelijk is voor de naleving van de juiste verwerking hiervan. Denk daarbij aan transparantie, gerechtvaardigde doeleinden, toereikend zijn, correct zijn, juiste archivering en het nemen van passende technische en organisatorische maatregelen om beveiliging te waarborgen. Met name dit laatste is iets waar een IAM oplossing bij kan helpen door bijvoorbeeld het beheren van toegang tot persoonsgegevens te managen. Het permanent afdwingen van veilige informatiestromen is iets wat de taak van IAM is.

Privacy by Design

Privacy by design houdt in dat u bij het ontwerpen van producten en diensten er voor zorgt dat persoonsgegevens goed beschermd worden. Dit is een nieuwe vereiste binnen de AVG. De verwerkingsverantwoordelijke dient passende technische en organisatorische maatregelen te nemen om onder andere de toegankelijkheid van persoonsgegevens te beperken. Dit is iets waar een IAM oplossing in springt. Alleen toegang geven aan de mensen die daadwerkelijk toegang nodig hebben.

Beveiliging van de verwerking

Een ander vereiste vanuit de AVG is dat de verwerkingsverantwoordelijke en de verwerker het vermogen hebben om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen. Vertrouwelijkheid en beschikbaarheid het zijn bijna twee opponenten. Zorgen dat dat goed samenwerkt is iets waar een IAM oplossing bij kan helpen. Toegang tot persoonsgegevens moet namelijk beperkt zijn tot een bepaald doel. Met een IAM oplossing kunt u de toegang beperken tot de mensen die dit doel bedienen.

Melding van een inbreuk  – wie had wanneer toegang?

Een inbreuk (datalek) in verband met persoonsgegevens dient u binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Maar hoe komt u achter een datalek? De meeste bedrijven komen hier pas enkele weken zo niet maanden later achter, als het al ontdekt wordt. Met de juiste rapportage tools kunt u hier beter inzicht in krijgen.

Maar ook om compliant te zijn wilt u inzicht in wie waar toegang toe heeft. U heeft rapportage mogelijkheden nodig. Dit kan via IAM geregeld worden en er zijn verschillende oplossingen voor beschikbaar.

Privileged Access Management

Een laatste hele belangrijke is uw privileged gebruikers te beveiligingen,  zoals de IT administrators die de digitale sleutel hebben tot al uw systemen. Voor hackers de meeste ideale personen. Ook hier zijn verschillende oplossingen voor beschikbaar om juist deze meest kwetsbare groep gebruikers streng te beveiligen. En er zo voor te zorgen dat de kans op een hack kleiner wordt maar ook de kans op uitlek gevaar als uw IT administrator bijvoorbeeld uw bedrijf verlaat met de huidige wachtwoorden nog in zijn achterhoofd.

Al met al kan IAM een goede rol spelen om u weer wat verder op weg te helpen met het voldoen aan de AVG. Bent u al AVG compliant?

Wilt u graag persoonlijk advies ontvangen? Ik help u graag!

Karin van der Meer is information security analyst bij IonIT

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *